SuiteCRM w wersjach przed 7.14.4 i 8.6.1 zawiera podatność SQL Injection w kontrolerze `Alerts`, wynikającą z niedostatecznej walidacji danych wejściowych. Podatność posiada krytyczny poziom CVSS 9.6 i umożliwia zdalnym atakującym manipulację bazą danych oraz potencjalne zakłócenie działania systemu.
▸ Pokaż oryginał (EN)
SuiteCRM is an open-source Customer Relationship Management (CRM) software application. In versions prior to 7.14.4 and 8.6.1, poor input validation allows for SQL Injection in the `Alerts` controller. Versions 7.14.4 and 8.6.1 contain a fix for this issue.
Nieprawidłowa walidacja danych wejściowych w kontrolerze `Alerts` pozwala uwierzytelnionemu atakującemu na wstrzyknięcie złośliwych zapytań SQL. Poprzez odpowiednio spreparowane żądanie sieciowe możliwe jest przekazanie niezaufanych danych bezpośrednio do warstwy bazy danych bez ich właściwego oczyszczenia lub parametryzacji. Podatność jest exploitowalna zdalnie, bez konieczności interakcji ze strony użytkownika, co znacząco obniża próg jej wykorzystania.
Atakujący może manipulować danymi w bazie danych (wysoka integralność) oraz powodować zakłócenia w dostępności systemu CRM (wysoka dostępność). Ze względu na zmieniony zakres (S:C), skutki mogą wykraczać poza bezpośrednio podatną aplikację.
Należy zaktualizować SuiteCRM do wersji 7.14.4 lub 8.6.1, które zawierają poprawkę eliminującą tę podatność. Szczegóły dostępne w oficjalnym security advisory producenta.
SuiteCRM w wersjach wcześniejszych niż 7.14.4 oraz wcześniejszych niż 8.6.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:HSalesagility Suitecrm
APPSalesagility< 7.14.48.0.0 – 8.6.1 (bez)
Powiązane podatności
SQL Injection w SuiteCRM umożliwiające zdalne wykonanie kodu (RCE)
SQL Injection w SuiteCRM — punkt wejścia danych drzewa
SQL Injection w SuiteCRM — kontroler EmailUIAjax displayView
SQL Injection w SuiteCRM — kontroler EmailUIAjax messages count
SQL injection w SuiteCRM poprzez punkt wejścia odpowiedzi na zdarzenia